MACsec (Media Access Control Security) は、IEEE 802.1AE 標準に基づくレイヤー 2 のリンク暗号化プロトコルです。ハードウェアを使用して物理接続上で低レイテンシのデータ暗号化を提供し、転送中のデータを保護します。物理ポートの作成時に MACsec 機能を有効にすると、その物理ポートの詳細ページの MACsec タブで MACsec キーを管理できます。
概要
概念 | 説明 |
CKN (Connectivity Association Key Name) | Connectivity Association Key の名前です。CAK を一意に識別します。CKN は、MKA (MACsec Key Agreement) プロトコルの参加者がキーネゴシエーションのために正しい CAK を選択する際に役立ちます。 |
CAK (Connectivity Association Key) | MACsec のコントロールプレーン通信に使用される Connectivity Association Key です。CAK はデータ暗号化に直接使用されるのではなく、SAK (Secure Association Key) を導出するための基礎として機能します。 |
SAK (Secure Association Key) | データの暗号化と復号化に使用される Secure Association Key です。システムは CKN/CAK ペアから SAK を自動的に導出し、定期的に再生成します。 |
MKA (MACsec Key Agreement) | MACsec Key Agreement プロトコルです。MACsec のセキュアチャネルを確立および管理し、キーのネゴシエーションを行う役割を担います。 |
MACsec は、次の暗号化アルゴリズムをサポートしています:
GCM-AES-128
GCM-AES-XPN-128
GCM-AES-256
GCM-AES-XPN-256
高帯域幅のリンクでは、コントロールプレーンの過負荷によるパケット損失を防ぐために、GCM-AES-XPN-256 暗号化アルゴリズムを使用してください。
キーの関連付け
物理ポートの作成時に MACsec 機能を有効にしたことを確認してください。
対象の物理ポートの ID をクリックして詳細ページを開き、MACsec タブをクリックします。
このタブは、MACsec 暗号化をサポートする物理ポートにのみ表示されます。このタブが表示されない場合、物理ポートの作成時に MACsec 機能が有効になっていません。
関連付けられた MACsec キー をクリックし、暗号化アルゴリズム を選択してから、接続関連付けキー名 (CKN) と 接続関連付けキー (CAK) を入力します。CKN と CAK はどちらも 16 進数文字 (0-9, A-F) の文字列である必要があります:
GCM-AES-128 と GCM-AES-XPN-128 アルゴリズムの場合、CKN と CAK は 32 文字の 16 進数文字 (128 ビット) の長さである必要があります。
GCM-AES-256 と GCM-AES-XPN-256 アルゴリズムの場合、CKN と CAK は 64 文字の 16 進数文字 (256 ビット) の長さである必要があります。
OK をクリックします。キーが正常に追加されると、システムは自動的に最新のキーを使用して MKA ネゴシエーションを開始します。
[関連付け中]:MACsec キーは物理接続で検証およびネゴシエーション中です。
[関連付け済み]:MACsec キーは検証され、物理接続に正常に関連付けられました。
[関連付けに失敗しました]:MACsec キーの検証に失敗し、物理接続に関連付けられませんでした。再度関連付ける をクリックして再試行できます。
[関連付けられていません]:MACsec キーは物理接続から関連付けが解除されました。
キーのローテーション
MACsec はキーのローテーションをサポートしており、最大 3 つの CKN/CAK ペアを保存し、接続を中断することなく手動でキーをローテーションできます。
キーは追加日時の降順でソートされ、最新の MACsec キーが一番上に表示されます。
新しい CKN/CAK ペアを関連付けると、システムは自動的に最新のキーを使用してネゴシエーションを開始します。お客様の CPE にも同じキーペアを設定してください。
最新のキーでのネゴシエーションが失敗した場合、システムは自動的に以前にアクティブだったキーにフォールバックして暗号化を行います。キーが 1 つしかなく、そのネゴシエーションが失敗した場合、通信は中断されます。
関連付け済みまたは失敗状態のキーを 関連付けの解除 すると、システムは自動的にリスト内の次のキーでネゴシエーションを試みます。
関連付けられていません 状態のキーのみ削除できます。
オンプレミスルーターの設定
Alibaba Cloud で MACsec キーを設定した後、オンプレミスルーター側でも対応する MACsec 設定を行う必要があります。ルーターベンダーのドキュメントを参照して、次のパラメーターを設定してください:
パラメーター | 説明 |
MACsec 暗号化アルゴリズム | Alibaba Cloud で設定したアルゴリズムと一致させる必要があります。 |
CAK 暗号化アルゴリズム | AES_256_CMAC |
CKN/CAK | Alibaba Cloud で設定した CKN/CAK ペアと一致させる必要があります。 |
セキュアチャネル識別子 (SCI) | 有効にする必要があります。 |
トラフィックの中断を避けるため、Alibaba Cloud コンソールで MACsec キーを追加してネゴシエーションを開始する前に、オンプレミスルーターで MACsec の設定を完了してください。
制限事項
現在、MACsec は暗号化必須モードのみをサポートしています。Alibaba Cloud とお客様の CPE との間のキーネゴシエーションが失敗した場合、ネットワーク接続は中断され、すべてのトラフィックがブロックされます。
既存の物理ポートで MACsec を有効にすることはできません。新しい物理ポートを作成するときにのみ有効にできます。
各物理ポートは、最大 3 つの MACsec キーペアをサポートします。
キーは 16 進数文字 (0-9, A-F) を使用する必要があります。CKN と CAK は、どちらも 32 文字 (128 ビット暗号化アルゴリズムの場合) または 64 文字 (256 ビット暗号化アルゴリズムの場合) の長さである必要があります。
セキュアチャネル識別子 (SCI) は必須であり、無効にすることはできません。
IEEE 802.1Q (Dot1q/VLAN) タグを暗号化されたペイロードの外に移動することはサポートされていません。
MACsec は物理ポートの属性です。仮想ボーダールーター (VBR) で個別に MACsec をクエリしたり無効にしたりすることはできません。